In <007e01c0021a$cde1b3a0$0c00a8c0@ipform.ru> Artem Koutchine
(matrix@ipform.ru) wrote:
AK> ----- Original Message -----
AK> From: Vladimir Bormotov <bor@kiev-konti.com>
AK> To: <apache-talk@lists.lexa.ru>
AK> Sent: Wednesday, August 09, 2000 7:50 PM
AK> Subject: Re: [apache-talk] Apache in too many groups
>> Hi!
>>
>> > > В качесве наводящей мысли - попробуй у себя просто сделать юзера,
>> > > который бы входил более чем в 16 групп.
>>
>> > Дык я уже его сделал, и вроде ничего плохого.
>>
>> Т.е. пользователь может быть более чем в 16-ти группах, и везде получает
>> доступ к необходимым файлам?
>>
>> Просто я сталкивался с тем, что на FreeBSD (3.x - точнее версию не помню)
>> была та-же проблема (я той машинкой не рулю я там пользователь, и
AK> проблема
>> возникла не у меня, а у более других пользователей :)
>>
>> > Ну предположим, что так нельзя, а что же тогда делать, какую
>> > permission модель сделать? У меня уже идей нет.
>>
>> Кажется это называется jail, или что-то в этом роде.
>>
AK> У меня FreeBSD 4.1-STABLE
AK> Босю, что jail сюда просто не пристроишь. Это suEXEC патчить надо, а если
AK> так,
AK> то лучше его сразу запатчить, чтобы он security со своей стороны приспустил.
AK> Я вообще
AK> не понимаю от куда эта проблема, это ведь естественное желание, чтобы
AK> пользователи
AK> виртуальных серверов не лезли друг к другу, неужели не у кого это не решено?
Желание НЕестественное, если подумать. То, что к чему имеет доступ apache
должны иметь досту все. Apache - НЕ является программой, которой можно на
100% доверять в смысле безопасности. А если ее взломают (а, еще раз повторяю,
Apache проектировался НЕ с рассчетом на невзламываемость, а вовсе даже наоборот:
с рассчетом на то, что его будут НЕПРЕРЫВНО взламывать - по крайней мере
локальные пользователи; удаленным сложнее - а он будет продолжать работать).
Соотвественно любое его использование должно эту особенность учитывать :-)
AK> Ведь
AK> это означает, что получив хостинг, скажем, в демосе, я спокой могу прочитать
AK> все чужие
AK> скрипты, спереть, может быть, очень дорогое ПО. Но я не думаю, что это так.
AK> Так как
AK> же эта проблема решается?
Очень просто. Если кому ДЕЙСТВИТЕЛЬНО нужно защитить свое "очень дорогое ПО"
даже от чтения, то он может заплатить дополнительно денег и ему организуют
отдельный сервер (за эти же деньки пямяти в машину добъют, если совсем много
заплатит - отдельный сервер поставят :-) Обычных пользователей через ssh не
пускают (еще чего не хватало :-), а через ftp (с помощью chroot) доступ - только
к себе в home. Все.
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at http://www.lexa.ru/apache-talk =